Gerenciamento de Riscos em Segurança da Informação

Prévia do material em texto

· Pergunta 1
1 em 1 pontos
	
	
	
	Nem sempre é fácil identificar um risco e muito menos saber sua dimensão. Um exemplo é como identificar o dano/prejuízo causado sobre um conjunto de dados de uma instituição financeira. Na avaliação de riscos, independentemente do modelo de processo utilizado temos de saber a dimensão do risco. A partir dele, podemos definir custos e estratégias apropriadas.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
De acordo com o conhecimento adquirido durante os estudos, assinale a alternativa que identifique as principais formas de se medir um risco:
	
	
	
	
		Resposta Selecionada:
	 
Quantitativa e qualitativa.
	Resposta Correta:
	 
Quantitativa e qualitativa.
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois, para se medir um risco, utilizam-se duas formas básicas: quantitativa e qualitativa. Na análise quantitativa, consideram-se números tangíveis, como custos, quantidade de acesso etc. Já a qualitativo não considera números, mas sim cálculos sobre a probabilidade da ocorrência do risco.
	
	
	
· Pergunta 2
1 em 1 pontos
	
	
	
	Uma avaliação de risco é uma análise completa do seu local de trabalho para identificar coisas, situações, processos etc. que podem causar danos, principalmente às pessoas. Após a identificação, você analisa e avalia a probabilidade e a gravidade do risco. Com base em um gerenciamento, pode-se priorizá-los e verificar seus custos de acordo com o grau de importância da organização.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Nesse sentido, assinale a alternativa que apresenta exemplos de processos de gerenciamento de risco:
	
	
	
	
		Resposta Selecionada:
	 
Podem-se utilizar normas específicas da ISO e boas prática do PMI (Project Management Institute).
	Resposta Correta:
	 
Podem-se utilizar normas específicas da ISO e boas prática do PMI (Project Management Institute).
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois, de acordo com o que foi visto durante os estudos e baseado na citação do enunciado, as referências para o gerenciamento de riscos são as ISOs 27001 e 27002, bem como o PMBOK da PMI. Desse modo, por meio dessas boas práticas pode-se gerenciar melhor o risco.
	
	
	
· Pergunta 3
1 em 1 pontos
	
	
	
	A análise de riscos é a principal atividade a se fazer para conhecer de fato quais são os riscos de uma organização. Com base nos objetivos, leis/regulamentos e regras de negócios, é possível ponderar e priorizar os principais riscos. Por meio de seus objetivos, pode-se conhecer os ativos mais importantes. Em consequência, deve-se criar contramedidas adequadas para se possível eliminar tais vulnerabilidades.
 
HINTZBERGEN, J. et al . Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
A respeito das estratégias utilizadas sobre um risco, assinale a alternativa que indique qual deixa o risco assumindo a possibilidade de dano:
	
	
	
	
		Resposta Selecionada:
	 
Tolerância.
	Resposta Correta:
	 
Tolerância.
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois, dentro do conceito de segurança da informação, a tolerância ou simplesmente a aceitação é quando se aceita o risco como está. Essa aceitação ocorre por dois motivos: por ter um custo mais elevado para se criar uma contramedida ou simplesmente pelo risco não apresentar um dano tão severo à segurança da informação.
	
	
	
· Pergunta 4
1 em 1 pontos
	
	
	
	Uma variante do ataque de negação de serviço é o ataque de negação de serviço distribuído. Ele possui o mesmo tipo de ação, mas o que o diferencia é seu grande poder de ataque. Existe um tipo de ataque que explora alguma vulnerabilidade não intencional no sistema (uma falha) ou uma brecha intencional deixa no
software (desenvolvedor).
 
HINTZBERGEN J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Nesse sentido, assinale a alternativa que descreva o conceito apresentado:
	
	
	
	
		Resposta Selecionada:
	 
Portas dos fundos ( backdoor).
	Resposta Correta:
	 
Portas dos fundos (backdoor).
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois esse ataque é o de portas dos fundos. Enquanto a negação de serviço tenta “bater na porta” inúmeras vezes, esse ataque visa entrar em uma porta (brecha) na qual ninguém está acostumado a entrar. Este tipo de brecha pode ser algum caminho criado pelo desenvolvedor para manutenção do sistema, por exemplo, um usuário administrador e senha 123456.
	
	
	
· Pergunta 5
1 em 1 pontos
	
	
	
	Uma organização deve conhecer bem as suas ameaças. Por meio da identificação delas, é possível definir contramedidas que podem resolver, amenizar ou simplesmente aceitar tal dano. Isso está diretamente ligado aos ativos da organização. Em uma organização, têm-se ativos que são os alvos favoritos de ameaças.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
Nesse sentido, assinale a alternativa que indique os principais ativos de uma organização:
	
	
	
	
		Resposta Selecionada:
	 
Propriedade intelectual, dados financeiros e disponibilidade.
	Resposta Correta:
	 
Propriedade intelectual, dados financeiros e disponibilidade.
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois os principais ativos de uma organização são a infraestrutura de TI e rede, propriedade intelectual, dados financeiros e disponibilidade. Cada organização deve gerenciar os riscos, a fim de priorizar seus riscos para a definição apropriada de contramedidas.
	
	
	
· Pergunta 6
1 em 1 pontos
	
	
	
	Com um gerenciamento de risco bem definido em uma organização, com base em normas e padrões, é possível identificar e priorizar os principais ativos de uma organização. Dentre o universo de diferentes tipos de ataques, existe um, que é muito comum e que visa sobrecarregar algum serviço (por exemplo, de um site) enviando milhares de requisições.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
A respeito dos tipos de ataque, assinale a alternativa que identifique a ameaça que visa sobrecarregar algum serviço enviando milhares de requisições:
	
	
	
	
		Resposta Selecionada:
	 
Negação de serviço (DoS – Denial of Service).
	Resposta Correta:
	 
Negação de serviço (DoS – Denial of Service).
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois a negação de serviço visa indisponibilizar as operações oferecidas. Por meio de inúmeras requisições, é possível sobrecarregar o servidor e desligar, ou torná-lo tão lento que não será viável operá-lo. Existe uma variante dele, que é a negação de serviço distribuída. A sua diferença é que, com esse ataque, usam-se milhares de computadores sequestrados.
	
	
	
· Pergunta 7
1 em 1 pontos
	
	
	
	Vimos os conceitos de evento e incidente. Por exemplo, um empregado pode gerar um erro no sistema criando um incidente não desejado, em que se podem abrir oportunidades para ataques. Vimos que um evento é algo relacionado a um comportamento inesperado de um ativo.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
Nesse sentido, assinale a alternativa que melhor descreve o conceito de “incidente não desejado”:
	
	
	
	
		Resposta Selecionada:
	 
Ameaça.
	Resposta Correta:
	 
Ameaça.
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois a ameaça é quando um incidente não desejável é iniciado. O evento (comportamento irregular do ativo) poderá disparar um incidente, que é um evento adverso em um sistema de informação e/ou em uma rede que representa uma ameaça à segurança do computador ou da rede em relação à disponibilidade, integridade e confidencialidade.· Pergunta 8
1 em 1 pontos
	
	
	
	Uma organização sem o conhecimento de seus riscos nunca estará segura, pois poderá estar vulnerável a qualquer tipo de ameaça. Sabe-se que, para realizar uma avaliação de risco adequada, devemos considerar os três requisitos básicos de segurança, que são: estratégia/objetivos, regulamentos e leis e, por fim, as regras de negócios.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Com base na avaliação de risco estudada, assinale a alternativa que indique quais são os benefícios encontrados ao se utilizar a avaliação de riscos.
	
	
	
	
		Resposta Selecionada:
	 
Podem-se identificar, priorizar e medir os riscos.
	Resposta Correta:
	 
Podem-se identificar, priorizar e medir os riscos.
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois, durante os estudos, você viu que, quando avaliamos os riscos, estamos identificando-os de uma melhor forma e ainda priorizando-os de acordo com sua gravidade. De posse dessa definição, será a partir daí que podemos medi-los para uma efetiva contramedida.
	
	
	
· Pergunta 9
1 em 1 pontos
	
	
	
	Infelizmente, uma ameaça está presente em todas as organizações. Uma das opções de medida de proteção mais simples é a que usa a detecção. Aqui, sabe-se da ameaça e, por meio de um software de monitoramento, é possível saber o momento que ela acontece.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Apesar de a medida de detecção ser bastante utilizada, existe outra medida cujo principal objetivo é solucionar/reduzir o dano causado pelo incidente. Assinale a alternativa que melhor descreva essa outra medida:
	
	
	
	
		Resposta Selecionada:
	 
Repressão.
	Resposta Correta:
	 
Repressão.
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois a medida de repressão é executada quando uma ameaça é detectada e deve-se resolver/reduzir os danos causados pelo incidente. Se houve a detecção de uma invasão a uma rede da organização, deve-se o mais rápido possível realizar medidas de repressão para reduzir o dano causado. Com essa medida, pode-se apenas invadir, mas, com ações adequadas, pode-se bloquear o agente causador antes de obter qualquer informação.
	
	
	
· Pergunta 10
1 em 1 pontos
	
	
	
	Uma medida de repressão é bastante útil quando se identifica uma ameaça. Devem-se criar estratégias eficientes para bloquear/reduzir os prejuízos causados pelo incidente. Sem dúvida, prevenir-se contra uma ameaça é a melhor opção, mas infelizmente nem tudo sai como esperado.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Sobre medidas de proteção, assinale a alternativa que indique a opção que é mais adequada após uma repressão:
	
	
	
	
		Resposta Selecionada:
	 
Correção.
	Resposta Correta:
	 
Correção.
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois, de acordo com o descrito no livro-texto, veja que a correção, uma medida de proteção de um sistema de informação, está diretamente relacionada à repressão. Pois, em uma repressão ineficiente, necessitará de medidas de segurança corretivas maiores.
	
	
	
Quarta-feira, 4 de Novembro de 2020 18h08min46s BRT